Нужно ли импортировать цепочку SSL по порядку?

Question

У меня есть сертификат SSL, который подписан промежуточным центром сертификации, а затем сертификат промежуточного центра сертификации подписан корневым центром сертификации.Мне нужно импортировать эти сертификаты в мое хранилище доверенных сертификатов, чтобы получить доступ к этой службе.

Мои вопросы: есть ли какой-то конкретный порядок, которому я должен следовать при импорте этих сертификатов.

, например, импортСначала SSL-сертификат, затем промежуточный CA-сертификат, а затем корневой CA-сертификат

ИЛИ Я могу импортировать сертификат в любом порядке и быть уверенным, что он будет работать.

2-я часть вопроса - КОГДА путь PKIXСтроительство происходит, заботится ли он о порядке, в котором сертификаты присутствуют в складах доверенных сертификатов.

Answer 1

Нет, порядок сертификатов в доверенном хранилище не имеет значения.

Когда цепочка сертификации, представленная сервером, проверена, клиент ищет совпадение в хранилище доверенных сертификатов, начиная с окончательного сертификата до корня.Каждый сертификат проверяется с использованием открытого ключа верхнего сертификата, пока не будет найдено совпадение с хранилищем доверенных сертификатов.Существует совпадение, когда присутствует сам сертификат или его непосредственный начальник (сертификат был подписан цифровой подписью верхнего сертификата).

Следовательно, порядок не имеет значения, поскольку цифровая подпись каждого сертификата в цепочке будет проверена